如何簡單繞過人機(jī)身份驗(yàn)證Captcha

如何簡單繞過人機(jī)身份驗(yàn)證Captcha，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

今天分享的Writeup是作者在目標(biāo)網(wǎng)站漏洞測試中發(fā)現(xiàn)的一種簡單的人機(jī)身份驗(yàn)證（Captcha）繞過方法，利用Chrome開發(fā)者工具對(duì)目標(biāo)網(wǎng)站登錄頁面進(jìn)行了簡單的元素編輯就實(shí)現(xiàn)了Captcha繞過。

人機(jī)身份驗(yàn)證（Captcha）通常會(huì)出現(xiàn)在網(wǎng)站的注冊(cè)、登錄和密碼重置頁面，以下是目標(biāo)網(wǎng)站在登錄頁面中布置的Captcha機(jī)制。

從上圖中可以看到，用戶只有在勾選了Captcha驗(yàn)證機(jī)制的“I‘m not a robot”之后，登錄按鈕（Sign-IN）才會(huì)啟用顯示以供用戶點(diǎn)擊。因此，基于這點(diǎn)，我右鍵點(diǎn)擊了Sign-In按鈕，然后用Chrome開發(fā)者工具的“元素檢查”（Inspect Element ）功能來查看Sign-In按鈕的底層元素，這一看，竟然發(fā)現(xiàn)其在“提交”（Submit）動(dòng)作之后，定義了“禁用”（Disable）屬性，好吧，那我就把它改變成“啟用”（Enable）試試看。

這一改，登錄按鈕（Sign-IN）顯示且可點(diǎn)擊了，好吧，我確實(shí)不是一個(gè)機(jī)器人，人機(jī)身份驗(yàn)證（Captcha）在這里成了擺設(shè)。

我好奇服務(wù)端的驗(yàn)證方式，于是就用BurpSuite對(duì)上述過程進(jìn)行了抓包，發(fā)現(xiàn)服務(wù)端一開始都不對(duì)用戶提交的Captcha操作做驗(yàn)證，因此，即使我把提交的Captcha會(huì)話內(nèi)容刪除了，一樣可以跳轉(zhuǎn)到登錄頁面，根本不需要觸發(fā)其中的“啟用”（Enable）屬性就行。

看完上述內(nèi)容，你們掌握如何簡單繞過人機(jī)身份驗(yàn)證Captcha的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！